تحريات جديدة تشير إلى ثلاث برمجيات خبيثة تابعة لـ Flame، واحدة منها لا تزال تمارس نشاطها

تعلن شركة كاسبرسكي لاب عن نتائج البحث الجديد المتعلق بالكشف عن حملة التجسس الالكتروني لـFlame الممولة من قبل دولة ما. وقد تم خلال البحث الذي أجرته كاسبرسكي لاب مع منظمةIMPACT - الجناح التنفيذي التابع للاتحاد الدولي للاتصالات، المكلف بشؤون الأمن الالكتروني، CERT-Bund/BSI وSymantec  تحليل  عدد من خوادم الأوامر والمراقبة التي استخدمت من قبل Flame بالتفصيل. وقد عثر على آثار 3 برمجيات خبيثة لم تكتشف بعد، كما تبين أن عملية تطوير منصة Flame تعود إلى عام 2006.

تطوير خوادم الأوامر والمراقبة (C&C) لـFlame بدأ في ديسمبر 2006.

جرى  تمويه خوادم الأوامر والمراقبة لتبدو كخوادم نظام إدارة المحتوى وإخفاء الطبيعة الحقيقية للمشروع من موفري خدمة الاستضافة أو التحقيقات العشوائية.

• كانت الخوادم قادرة على استقبال البيانات من الآلات باستخدام أربعة بروتوكولات مختلفة؛ واحد منها فقط كان يقوم بخدمة الحواسب المصابة بـFlame

وجود ثلاثة بروتوكولات إضافية غير مستخدمة من قبل Flame يثبت أن ثلاث برمجيات خبيثة تابعة لـFlame قد أنشئت ولا يعرف أي شيء عن طبيعتها حتى الآن.

أحد هذه الكينونات المجهولة التابعة لـFlame حرة طليقة تمارس نشاطها.

كانت هناك أدلة تشير إلى أن منصات الأوامر والمراقبة كانت لا تزال في مرحلة التطوير؛ وقد ورد اسم Red Protocol  الذي أطلق على أحد أنظمة الاتصال في خوادم C&C ولكنه لم يطبق بعد.

لا يوجد أي دليل على أن خوادم C&C قد استخدمت في مراقبة برمجيات أخرى معروفة كـStuxnet أو Gauss.

واكتشفت حملة Flame التجسسية  لأول مرة في مايو 2012  من قبل كاسبرسكي لاب خلال تحريات بادر بها الاتحاد الدولي للاتصالات. عقب هذا الاكتشاف، عملت منظمة IMPACT على إصدار إنذار فوري للدول الـ144 الأعضاء فيها، وأرفقته بإجراءات المعالجة والإزالة.  و وقد كان تعقيد الشيفرة والروابط المؤدية إلى مطوري Stuxnet تشير إلى أن Flame هو نموذج آخر لعملية الكترونية معقدة ممولة من قبل دولة ما. ودلت التقديرات الأولية على أن Flame بدأ عملياته في 2010 إلا أن التحليل الأول لبنية C&C التحتية له (شملت ما لا يقل عن 80 اسم نطاق معروف) أرجع هذا التاريخ إلى الوراء بنحو عامين.

وتعتمد نتائج هذا التحري على تحليل المحتوى المستخلص من عدة خوادم C&C التي استخدمت من قبل Flame. وتم استعادة البيانات على الرغم من أن خوادم Flame قد انقطعت عن الانترنت فور اكتشاف كاسبرسكي لاب عن وجود البرنامج الخبيث. وكانت جميع الخوادم تعمل على نسخة 64- بت من نظام التشغيل Debian، المعتمدة عن حاويات OpenVZ.  وكانت شيفرة غالبية الخوادم قد كتبت بلغة البرمجة PHP. ولجأ مطورو Flame إلى اتخاذ إجراءات لجعل خادم C&C يبدو كنظام إدارة محتوى عادي بغرض تجنب لفت انتباه موفر خدمة الاستضافة.

وتبنى المهاجمون أساليب تشفير معقدة ليستأثروا وحدهم على البيانات المحملة من الآلات المصابة. وقد كشف تحليل النصوص التي استخدمت في التحكم بعملية نقل البيانات إلى الضحايا عن 4 بروتوكولات اتصال، واحد منها كان متوائما مع Flame. وهذا يعني أن هناك 3 أنواع على الأقل من البرمجيات الخبيثة استغلت خوادم C&C هذه. وهذا دليل كاف لإثبات أن برنامجا خبيثا واحدا على الأقل تابع لـFlame لا يزال يمارس نشاطه. ولم يكتشف هذا البرنامج الخبيث بعد.

اكتشاف هام آخر للبحث يشير إلى أن تطوير خوادم C&C التابعة لـFlame بدأ في ديسمبر 2006. وهناك ما يدل على أن المنصة لا تزال في مرحلة التطوير كون أن بروتوكولا جديدا لم يستخدم بعد "Red Protocol" قد وجد في الخوادم. وأجرى آخر تحديث لشيفرة الخوادم في 18 مايو 2012 من قبل أحد المبرمجين.

وقال الكسندر غوستيف، كبير خبراء الأمن في كاسبرسكي لاب، في تعليق على هذا الموضوع: "لم يكن من السهل علينا تقدير كمية البيانات المسروقة من قبل Flame، حتى بعد تحليل خوادم الأوامر والمراقبة. مطورو Flame بارعون في إخفاء آثارهم.  غير أنهم ارتكبوا خطأ ساعدنا على اكتشاف بيانات أكثر مما يستطيع خادم واحد تخزينه. وانطلاقا من ذلك يمكنكم أن تروا أن هناك أكثر من 5 جيجابايت من البيانات قد نزلت على هذا الخادم في أسبوع من نحو أكثر من 5 آلاف آلة مصابة. وهذا بحد ذاته دليل على أن التجسس الالكتروني كان يتم على نطاق واسع".